X.509 Thawte E-Mail Zertifikat-Sicherheitslücken bei Erstel

  • Hallo!


    Wir wollen für private und evtl. später auch gewerbliche Nutzung Thawte X.509 E-Mail Zertifikate beantragen.


    Während der Erstellung des Privaten/Public Key Paares sowie bei Erstellung des Zertifikats (in unserem Fall mit Firefox) ist man bekanntlich bei Thawte eingeloggt und durchläuft den "Erstellungsprozess".


    Nun stellt sich uns natürlich die sicherheitsrelevante Frage:
    Welche Daten werden während der Schlüssel und/oder Zertifikatserstellung an Thawte übermittelt ?
    Insbesondere: Erhält Thawte in irgendeiner Form den "privaten" Schlüssel, oder einen anderen Schlüssel, mit dem -zumindest theoretisch- jemand von Thawte eine durch uns verschlüsselte E-Mail entschlüsseln könnte, oder eine E-Mail an unserer Stelle signieren könnte ?


    Ist zwar nur eine theoretische Frage, aber doch relevant, wenn es tatsächlich so wäre, daß bei Thawte die Privaten Schlüssel von Millionen Usern übertragen würden...


    Hat jemand da präzise Infos, wie dieser Erstellungsprozess technisch von statten geht ?
    Oder weiss jemand wo es Infos gibt ?
    (Thawte hüllt sich da nämlich in Schweigen, mit dem Hinweis, die E-Mail Zertifikate seien kostenlos und der Support daher sehr beschränkt...)


    Immerhin handelt es sich bei diesen digitalen Signaturen / Zertifikaten um Sicherheitsmaßnahmen, von denen man explizit deren Erstellungs- und Funktionsweise kennen sollte.


    Vielen Dank für evtl. ANtowrten und eine rege Diskussion

  • Moin,

    "trace34" schrieb:

    Wir wollen für private und evtl. später auch gewerbliche Nutzung Thawte X.509 E-Mail Zertifikate beantragen.


    Während der Erstellung des Privaten/Public Key Paares sowie bei Erstellung des Zertifikats (in unserem Fall mit Firefox) ist man bekanntlich bei Thawte eingeloggt und durchläuft den "Erstellungsprozess".


    Nun stellt sich uns natürlich die sicherheitsrelevante Frage:
    Welche Daten werden während der Schlüssel und/oder Zertifikatserstellung an Thawte übermittelt ?
    Insbesondere: Erhält Thawte in irgendeiner Form den "privaten" Schlüssel, oder einen anderen Schlüssel, mit dem -zumindest theoretisch- jemand von Thawte eine durch uns verschlüsselte E-Mail entschlüsseln könnte, oder eine E-Mail an unserer Stelle signieren könnte ?


    Ich habe jetzt gerade bei Thawte im Firefox ein neues Zertifikat beantragt. Es wird im Firefox im klassischen dezentralen Modus beantragt, d.h.:

    • Der private key wird beim Benutzer (in diesem Fall im Softwarekryptographie-Modul des Browsers) erzeugt.
    • Dann wird für diesen privaten Schlüssel ein CSR (Certificate Signing Request) erzeugt und an Thawte übertragen.
    • Wenn Thawte den CSR signiert hat, erhält der Benutzer das Zertifikat und kann es direkt im Keystore des Firefox speichern.


    Nein, bei diesem Vorgehen kommt Thawte nie mit Deinem private key in Berührung und kann auch keine Mails in Deinem Namen signieren/verschlüsseln.

    "trace34" schrieb:

    Ist zwar nur eine theoretische Frage, aber doch relevant, wenn es tatsächlich so wäre, daß bei Thawte die Privaten Schlüssel von Millionen Usern übertragen würden...


    Ja, das wäre ziemlich sinnfrei und würde dem eigentlichen Ziel einer Mailsignatur massiv widersprechen. - Bei Verschlüsselungszertifikaten ist eine serverseitige Generierung/Speicherung sogar üblich (zwecks Wiederherstellung verschlüsselter Daten).

    "trace34" schrieb:

    Hat jemand da präzise Infos, wie dieser Erstellungsprozess technisch von statten geht ?


    Das habe ich oben schon stichpunktartig getan. Wie der CSR dann "im Hintergrund" signiert wird, weiß ich allerdings auch nicht. Das hängt von der verwendeten PKI-Infrastruktur bei Thawte ab.

    Zitat

    Oder weiss jemand wo es Infos gibt ?
    (Thawte hüllt sich da nämlich in Schweigen, mit dem Hinweis, die E-Mail Zertifikate seien kostenlos und der Support daher sehr beschränkt...)


    Für solche Informationen wurden CP/CPS erfunden ;)
    http://www.thawte.com/cps

    Zitat

    Immerhin handelt es sich bei diesen digitalen Signaturen / Zertifikaten um Sicherheitsmaßnahmen, von denen man explizit deren Erstellungs- und Funktionsweise kennen sollte.


    Hehe, ja das sollte man definitiv ;)
    Allerdings kannst Du normalerweise nicht erwarten, dass die CA Dir Interna zu den verwendeten Applikationen erklärt. - Wenn Dir die Informationen in der CPS nicht ausreichen, um den ausgestellten Zertifikaten zu vertrauen, dann darfst Du diesen Anbieter nicht nutzen.
    So ist das leider im Umgang mit x509-Zertifikaten: Du musst dem Aussteller des Zertifikats vertrauen. - Und genau hier liegt die Krux: Wenn Dir der Aussteller nicht vertrauenswürdig erscheint, weil er Dir nicht ausreichend Informationen liefert oder aus sonstigen Gründen (ich habe z.B. generell ein Problem mit Ausstellern mit Sitz in _dem_ Nicht-Schurken-Staat ;)) nicht vertrauenswürdig erscheint, dann musst Du einen anderen nehmen.
    Denn selbst wenn Dein private key sicher ist, könnte jemand mit Zugriff auf die CA von Thawte sich problemlos Zertifikate ausstellen, die Deine E-Mail-Adresse im SAN enthalten und dann damit Mails in Deinem Namen signieren/verschlüsseln.
    Für Deine Kommunikationspartner ist dies schwer festzustellen, weil sich "nur" Dein öffentlicher Schlüssel geändert hat, was aber öfters (bei Verlust/Ablauf) vorkommen kann.

    Zitat

    Vielen Dank für evtl. ANtowrten und eine rege Diskussion


    Gern geschehen. Leider kann ich Dir die generelle Entscheidung "Thawte für den Schutz der Mails meines Unternehmens nehmen oder nicht nehmen" nicht abnehmen.
    Generell denke ich, dass dieses Thawte-Web-Of-Trust-Lösung nicht so schlecht ist. Allerdings kann sie in Sachen Unternehmensvertrauen mit einer "richtigen" unternehmensinternen PKI-Lösung in meinen Augen nicht mithalten.


    Ein Tip am Rande: Ich würde je ein Zertifikat für Verschlüsselung und Signatur verwenden und ein ganz sicheres Backup des Verschlüsselungszertifikats mit private key anlegen. - Sonst wirst Du bald verschlüsselte Mails hassen... ;)


    Viele Grüße,
    Michael

  • Hier die Antwort:


    An answer from the Dev.Tech-crypto Mozilla (Developer) Goolge Group to this subject can be found here:


    Hope it clarifies:


    http://groups.google.com/group…m/thread/e885d0624ab4ffe9


    http://groups.google.com/group…9%3F#doc_36c4b5c7f5925223


    Also a short citation:
    "Thank you,
    ecellent dickussion and conclusion we arrived to.


    I understand the general consensus is that the statement about unnotified
    key transmission [...] is correct, saying: "I know of no way", rather
    than "there is no way". (As Nelson Bolyard wrote).


    We are all aware that there is no 100% answer (as always in life), but I
    assume your knowledge has some weight. "